签名EXE文件

 

上篇

摘要

人家微软的软件都有数字签名，感觉好酷哦，我们写的软件也要弄个签名炫一炫。

带有签名的软件非常酷

在QQ的安装文件上右击，选“属性”，就可以看到QQ的数字签名了。

使用Process Explorer或SREng查看系统中正在运行的程序时，也可以验证程序是否有数字签名，如果我们的程序显示“Unable to verify”，那显得多不专业呀。


给自己的程序加上签名

上图中的那个MathLover121.exe是我在上学的时候用C++ Builder写的一个小软件，不用说，它肯定是没有签名的了。下面就来演示一下如何使用微软的签名工具SignTool签名这个EXE文件。要进行签名，首先要有数字证书才行。如果你的公司已经申请了数字证书，那就再好不过了；但是鉴于很多朋友手中没有数字证书，这里就先介绍一下如何在CA365上申请一个免费的数字证书。

申请免费的数字证书

Step1: 登录www.ca365.com，在“免费证书”栏中点击“用表格申请证书”链接。


Step2: 填表，基本上可以瞎填的，没人管。


Step3: 在上一步按“提交”按钮后稍等一会儿，会自动进入下载证书的页面，点击“下载并安装证书”链接下载并保存证书，默认的文件名是“NewCert.der”。


Step4: 安装证书。
在“NewCert.der”文件上右击，选择“安装证书”即可。


接下来就可以开始签名EXE文件了。

使用SignTool签名EXE文件

 

Step1: 通过“开始菜单|程序|Microsoft Visual Studio 2005|Visual Studio Tools|Visual Studio 2005 命令提示”打开命令行窗体。
Step2: 执行“signtool signwizard”。
Step3: 在“数字签名向导”中点击下一步，来到“文件选择”页，选择需要签名的文件。注意如果文件放在了桌面下会提示“指定的文件不存在或为只读文件”的错误信息，可能是文件夹权限的问题。
Step4: 点击“下一步”，来到“签名选项”页，选择“典型”即可。
Step5: 点击“下一步”，来到“签名证书”页，点击“从存储区选择...”按钮，然后选择我们刚刚申请并安装的那个证书。
Step6: （可选）点击下一步，在“数据描述”页可以填写一些描述信息。
Step7: （可选）点击下一步，在“给数据盖时间戳”页，填写时间戳服务的URL。这里有两个免费的时间戳服务器URL：http://timestamp.verisign.com/scripts/timstamp.dll http://timestamp.wosign.com/timestamp
Step8: 点击“下一步”，在“正在完成数字签名向导”页最后浏览一下所有的设置，确认无误后点击“完成”按钮开始签名。
Step9: 在弹出的“正在用您的专用交换密钥签名数据”对话框上按“确定”按钮。
Step10: 看到“数字签名向导已成功完成”信息，说明签名成功了。

现在，在Windows的资源管理器中右击MathLover121.exe选“属性”，就可以看到多了一个“数字签名”页。点击“详细信息”按钮可以查看证书的详细信息。


在Process Explorer里也可以验证签名了。


不过如果把这个已签了名的MathLover121.exe复制到我的同事的计算机上用Process Explorer验证签名，会仍然显示“Unable to verify”  ＿|￣|○ （好像有砖头飞来的声音，我闪先～～），这是因为 ca365的根证书默认并没有安装在Windows系统的“受信任根证书颁发机构”列表中。在我的机器上能验证成功是因为我事先已经导入了CA365的根证书。关于数字证书和根证书的关系可以看我的白话数字签名(2)。
可以在“开始菜单 | 运行...”里执行“certmgr.msc”查看“受信任根证书颁发机构”列表。


所以如果你希望Windows信任你就乖乖的向这个列表中的公司交钱吧，例如QQ的安装文件就是使用的 VeriSign 的代码签名证书。

还有一个奇怪的问题...

但是如果我们在“C:\Program Files\Internet Explorer\IEXPLORE.EXE”上面右击，再点击“属性”，可以看到并没有显示数字签名页，但是在Process Explorer中却可以成功验证签名，这是怎么回事呢？呵呵，先卖个关子，下篇再讲 :)

 

 

下篇

摘要

如果我们在IEXPLORE.EXE上面右击，再点击“属性”，可以看到并没有显示数字签名页，但是在Process Explorer中却可以成功验证签名，这是怎么回事呢？

签名EXE文件的两种方法

上篇写到如果我们在IEXPLORE.EXE上面右击，再点击“属性”，可以看到并没有显示数字签名页，但是在Process Explorer中却可以成功验证签名，这是怎么回事呢？这是因为有两种签名EXE文件的方法：1. 将签名数据嵌入到EXE文件内部，就是上篇里介绍的那种方法。2. 将签名数据存放到一个 .cat 文件中，Windows绝大多数程序和驱动都是使用的这种方法，所以在文件属性里看不到签名信息，却可以使用Process Explorer成功验证签名。下面就来介绍一下这种签名方法。

使用安全编录(.cat)文件签名EXE文件

Step1: 首先，为了方便，先在C盘下创建一个目录“C:\SignDemo”。然后将一个未签名的EXE文件“MathLover121.exe”复制到这个目录下。
Step2: 创建一个文本文件，命名为“123soft.cdf”，内容如图所示。
Step3: 下载这个MakeCat.rar，解压缩，得到MakeCat.exe，将它复制到“C:\SignDemo”。 注 MakeCat.exe是随3.0的SDK发布的，所以为了方便我把它上传到了这里。
Step4: 打开命令行，使用“makecat -v 123soft.cdf”命令生成“123soft.cat”文件。
Step5: 打开命令行，执行“signtool signwizard”命令，打开签名向导，使用和上篇同样的方法签名“123soft.cat”文件。

Step6: 测试123soft.cat文件里面是否已包含了MathLover121.exe的数字签名。方法是使用“signtool verify -v -pa -c 123soft.cat mathlover121.exe”命令。
Step7: 使用自动模式（即不显式给出CAT文件）验证签名，之所以会失败是因为我们还没有将123soft.cat导入操作系统的安全编录数据库。
Step8: 将123soft.cat添加到操作系统的安全编录数据库。在命令行执行“signtool catdb -v 123soft.cat”命令即可。
Step9: 重做Step7的测试，发现可以成功验证签名了。
Step10: 在Process Explorer里面验证MathLover121.exe的签名，发现可以验证成功。

注意 在上面Step2中，123soft.cdf中的文件列表一定要写成“<hash>MathLover=MathLover121.exe”，如果写成“MathLover=MathLover121.exe”也可以成功生成123soft.cat文件，但是验证签名会失败，提示的错误信息为“找不到指定文件”。我猜想这是因为签名验证程序是通过MathLover121.exe的散列值来查找签名数据的，而只有通过<hash>标记才能在生成CAT文件的时候使用MathLover121.exe的散列值替换掉“MathLover”这个名称。关于摘要算法可以参考我的白话数字签名(2)。

签名MP3

嵌入式的签名方式只能签名有限的几种文件格式，但是使用CAT文件的方式却可以签名任意格式的文件。下面就来演示一下签名MP3文件的过程。
Step1: 把一个MP3文件复制到“C:\SignDemo”。
Step2: 在123soft.cdf文件里添加这个文件名。
Step3: 按照前面的方法重新生成、签名CAT文件。
Step4: 验证签名。

参考文献

Kernel-Mode Code Signing Walkthrough
Microsoft Authenticode 参考指南